Se abre la veda de los ataques a empresas gracias al fallo de Microsoft Exchange Server
El número de intentos de aprovechar las vulnerabilidades de Exchange Server se duplica cada 2 - 3 horas.
Para quien no lo conozca, Microsoft Exchange Server es un sistema de mensajería con un servidor de correo, un programa de email y aplicaciones de trabajo en grupo. Exchange se ejecuta en los servidores de Microsoft Servers, y está diseñado para ser usado en un entorno comercial. De hecho Exchange es muy usado en el ámbito de las grandes empresas, y parece un buen objetivo si te dedicas al Cibercrimen o al terrorismo informático.
Microsoft Exchange Server hackeado
El martes pasado, Microsoft anunció que un grupo de hackers vinculados a China había hackeado su popular servicio de correo electrónico, lo que les ha permitido acceder a ordenadores y sistemas.
En una entrada en su blog oficial, la compañía dijo que cuatro vulnerabilidades en su software permitieron a los hackers acceder a los servidores de Microsoft Exchange, "lo que permitió el acceso a las cuentas de correo electrónico, y permitió la instalación de malware adicional para facilitar el acceso a largo plazo a los entornos de las víctimas."
La firma añadió que la plataforma online de Exchange, la versión del servicio basada en la nube, no se vio afectada. Y por ello, Microsoft insta ahora a los usuarios a descargar los parches de software, para las cuatro vulnerabilidades diferentes que se encontraron, ya que si tienes aunque sea una de ellas, ésta puede permitir a un cibercriminal ejecutar código de forma remota, tomar el control del sistema afectado o acceder a información confidencial.
Microsoft ha publicado varias actualizaciones en función de la versión de software afectado -Exchange Server 2013, Exchange Server 2016 y Exchange Server 2019-, en los enlaces que te dejamos a continuación:
Hackeados por HAFNIUM
Preguntados por quienes han sido los responsables, en Microsoft han señalado que creen que los ataques fueron llevados a cabo por Hafnium, "un grupo que se considera patrocinado por el Estado y que opera desde China".
Si bien la compañía no ha dado pruebas que apoyen la evaluación, sostiene que los responsables, "patrocinados por el Estado", fueron identificados por el Centro de Inteligencia de Amenazas de Microsoft sobre la base de las "tácticas y procedimientos" observados.
Veda abierta: Se triplican los ataques a empresas
Como señalan los expertos en ciberseguridad de Checkpoint, desde las vulnerabilidades recientemente reveladas en los servidores Microsoft Exchange "se ha iniciado una carrera completa entre los hackers y los profesionales de la seguridad". Los expertos mundiales están realizando esfuerzos preventivos masivos para combatir a los hackers que trabajan día a día para producir un exploit que pueda aprovechar con éxito las vulnerabilidades de ejecución remota de código en Microsoft Exchange.
El número de intentos de ataque ha sido de más de 1800 exploits en cientos de organizaciones de todo el mundo. Si se observa el ataque desde una perspectiva geográfica, los 3 países más atacados son:
Por sectores industriales más atacados la lista queda así:
Las vulnerabilidades permiten a un atacante leer los mensajes de correo electrónico de un servidor Exchange sin necesidad de autenticarse o acceder a la cuenta de correo electrónico de un individuo. Además, el encadenamiento de vulnerabilidades permite a los atacantes tomar el control completo del propio servidor de correo.
Una vez que un atacante se hace con el control del servidor Exchange, puede abrir la red a Internet y acceder a él de forma remota. Dado que muchos servidores Exchange están expuestos a Internet (concretamente a la función Outlook Web Access) y están integrados en la red más amplia, esto supone un riesgo de seguridad crítico para millones de organizaciones.
Las 4 vulnerabilidades en detalle
- CVE-2021-26855: Es una vulnerabilidad de falsificación de solicitudes del lado del servidor (SSRF) en Exchange que permite al atacante enviar solicitudes HTTP arbitrarias y autenticarse como el servidor de Exchange.
- CVE-2021-26857: Es una vulnerabilidad de deserialización insegura en el servicio de Mensajería Unificada. La deserialización insegura es cuando los datos no confiables controlados por el usuario son desterializados por un programa. La explotación de esta vulnerabilidad da a HAFNIUM la capacidad de ejecutar código como SYSTEM en el servidor Exchange. Esto requiere permiso de administrador u otra vulnerabilidad para explotarla.
- CVE-2021-26858: Es una vulnerabilidad de escritura arbitraria de archivos después de la autenticación en Exchange. Si HAFNIUM pudiera autenticarse en el servidor Exchange, podría utilizar esta vulnerabilidad para escribir un archivo en cualquier ruta del servidor. Podrían autenticarse explotando la vulnerabilidad CVE-2021-26855 SSRF o comprometiendo las credenciales de un administrador legítimo.
- CVE-2021-27065: Es una vulnerabilidad de escritura arbitraria de archivos posterior a la autenticación en Exchange. Si HAFNIUM pudiera autenticarse con el servidor Exchange, podría utilizar esta vulnerabilidad para escribir un archivo en cualquier ruta del servidor. Podrían autenticarse explotando la vulnerabilidad CVE-2021-26855 SSRF o comprometiendo las credenciales de un administrador legítimo.